Advance notification of Security Updates for Java SE

Sun has released updates to address multiple security vulnerabilities in Java SE.

Successful exploits may allow attackers to bypass certain security restrictions, run untrusted applets with elevated privileges, execute arbitrary code and cause denial-of-service conditions. Other attacks are also possible.

These issues are addressed in the following releases:

• JDK and JRE 6 Update 17
• JDK and JRE 5.0 Update 22
• SDK and JRE 1.4.2_24
• SDK and JRE 1.3.1_27

REFERENCE:

http://java.sun.com/javase/6/webnotes/6u17.html

http://blogs.sun.com/security/entry/advance_notification_of_security_updates6

http://www.securityfocus.com/bid/36881/info

fuente: securityfocus.com / sun-java

Once boletines de seguridad para Mozilla Firefox

La Fundación Mozilla ha publicado once boletines de seguridad para solucionar diversas vulnerabilidades en Mozilla Firefox que podrían ser aprovechadas por un atacante remoto para manipular o revelar información sensible, saltarse restricciones de seguridad o comprometer un sistema vulnerable.  A continuación se detallan las vulnerabilidades publicadas:

El primero de los problemas reside en un error en la forma en la que Firefox maneja el historial de formularios. Esta vulnerabilidad podría permitir a un atacante remoto robar los datos guardados y hacer que el explorador rellene automáticamente los formularios a través de una página web especialmente manipulada.

Otro error se presenta en la forma en que Firefox nombra a los ficheros temporales de descarga. Un atacante local podría aprovechar este problema para ejecutar código arbitrario a través de un cambio del contenido de los ficheros temporales de descarga.

La creación recursiva de web-workers en JavaScript puede ser empleada para crear un conjunto de objetos cuya memoria puede ser liberada antes de su uso. Estas condiciones habitualmente producen una denegación de servicio, que potencialmente podrían permitir a un atacante la ejecución de código arbitrario.

Múltiples vulnerabilidades se deben a la forma en que Firefox procesa el contenido web incorrecto, un atacante remoto podría provocar una denegación de servicio y potencialmente ejecutar código arbitrario a través de una página web especialmente manipulada.

Otro boletín trata un error en el procesador de imágenes GIF de Firefox que podría causar un desbordamiento de memoria basada en heap. Un atacante remoto podría aprovechar este problema para causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de una imagen GIF especialmente manipulada.

Otro error corregido se presenta en las rutinas de conversión de cadena a coma flotante de Firefox, que podría provocar un desbordamiento de memoria basado en heap. Un atacante remoto podría aprovechar este problema para causar una denegación de servicio y potencialmente ejecutar código arbitrario con los permisos del usuario a través de una pagina web con código JavaScrip especialmente manipulado.

Otro boletín se refiere a un error en la forma en que Firefox maneja la selección de texto. Un atacante remoto podría aprovechar este problema para ver el texto seleccionado por el usuario desde un dominio diferente a través de un sitio web especialmente manipulado.

Un error se presenta en la forma en que Firefox muestra el nombre cuando se descarga un archivo, lo que permitiría mostrar nombres diferentes en la barra de título y en el cuerpo de dialogo. Un atacante remoto podría realizar un ataque de hombre en el medio y ejecutar código arbitrario a través de un fichero especialmente manipulado.

Mozilla también ha actualizado diversas librerías de terceras partes para corregir fallos en el tratamiento de la memoria y bugs de estabilidad.

Recomendamos actualizar a Mozilla Firefox versiones 3.5.4 o 3.0.15 :

http://www.mozilla.com/firefox/

fuente: hispasec.com

 

Oracle Releases Critical Patch Update para octubre de 2009

Oracle ha publicado su parche de actualización crítica para octubre de 2009 para hacer frente a 38 vulnerabilidades (VER vulnerabilidades) en varios productos. Esta actualización contiene las siguientes revisiones de seguridad:

• 16 de la base de datos Oracle
• 3 para Oracle Application Server
• 8 para la Oracle E-Business Suite y aplicaciones
• 4 de PeopleSoft y JD Edwards Suite
• 6 para los productos de Oracle BEA Suite
• 1 para la Industria de los productos de Oracle Applications Suite

Recomendamos a los usuarios y administradores examinar el Oracle Releases Critical Patch Update y aplicar todas las actualizaciones necesarias.

Oracle Releases Critical Patch Update for october 2009

fuente: us-cert.gov

Actualización para múltiples vulnerabilidades en productos VMWare ESX

Se han corregido múltiples vulnerabilidades en VMWAre ESX, que podrían ser aprovechadas por un atacante para descubrir información sensible, causar una denegación de servicios o comprometer los sistemas afectados.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. VMWare ESX permite asignar recursos de procesador, memoria, almacenamiento de información y redes en múltiples máquinas virtuales.

Se han corregido un total de 48 vulnerabilidades que residen en DHCP, JRE y en el kernel del VMware ESX 3.5 y 3.0.3.

Las actualizaciones están disponibles desde:

Para ESX 3.5

• Consola de Servicio DHCP
• Librería DHCP y kernel
• JRE

Para ESX 3.0.3

• Consola de Servicio DHCP

MAS REFERENCIAS
VMSA-2009-0014 VMware ESX patches for DHCP, Service Console kernel, and JRE resolve multiple security issues

fuente: hispasec.com

Adobe y sus 29 actualizaciones de Seguridad.

Adobe entra de lleno en el mundo de las actualizaciones de seguridad programadas solucionando en este ciclo nada menos que 29 problemas de seguridad en su software más popular: los lectores y editores de PDF Adobe Reader y Acrobat. Rivaliza con Microsoft, que en este ciclo ha resuelto también 34 fallos.

Los administradores de sistemas deben andar todavía ocupados intentando actualizar sus productos Microsoft y Adobe. Adobe emitió en mayo un comunicado por el que se comprometía a mejorar su política de seguridad. Básicamente, decía que mejoraría el código de desarrollo centrándose en la seguridad, que mejoraría los procesos de respuesta a incidentes, y que programaría regularmente las actualizaciones de sus productos. En concreto, cada tres meses, lo segundos martes de cada mes. Con un criterio discutible, coincidiría con los días de actualización que hace años eligió Microsoft.

Estas promesas recuerdan inevitablemente a la Trustworthy Computing que Microsoft tuvo que implantar a principios de 2002 (a través de un comunicado del propio Bill Gates) para intentar encarar los continuos reveses en seguridad que sufría. Se puso en marcha la Strategic Technology Protection Program (STPP) que más tarde daría sus frutos en proyectos que se han demostrado eficaces como el Windows Software Update Services, Microsoft Operations Manager, la política de actualización periódica, sistemas fortificados “por defecto”, etc. Aun así lo peor estaría por llegar en 2003 con Blaster, pero eso ya pertenece a la “prehistoria”, y los esfuerzos de Microsoft comenzaron a dar resultados años después.

Adobe acaba de publicar uno de sus primeros ciclos de actualizaciones con nada menos que 29 vulnerabilidades resueltas. Entre ellas la que estaba siendo aprovechada por atacantes desde hace semanas, y que permitía la ejecución de código arbitrario a través de archivos PDF especialmente manipulados. El mismo día Microsoft corregía 34, pero en una mucha mayor gama de productos.

Adobe comienza así a mejorar su seguridad, siete años más tarde que Microsoft (que aún lo está adaptando y asumiendo)… De hecho, ya se empieza a conocer a Adobe como “la nueva Microsoft”, heredando sus problemas logísticos a la hora de mejorar la seguridad, teniendo que rediseñar su estrategia (cuando quizás sea tarde), y actuando de forma reactiva en vez de haber aprendido de otros fabricantes. Ahora que Adobe se toma en serio su seguridad, esperamos que no sean necesarios tantos años para, como le está costando a Microsoft, materializar los resultados, puesto que el mundo del malware no es el mismo que en 2002, y las consecuencias de los problemas de seguridad de hoy son mucho más serias.

Adobe Reader and Acrobat Security Initiative

Security Updates Available for Adobe Reader and Acrobat

fuente: hispasec.com

Security Update para Adobe Reader y Acrobat

Adobe ha publicado su Security Update para mitigar las ultimas vulnerabilidades que afectan sus productos (VER Vulnerabilidades) Vulnerabilidades críticas han sido identificadas en Adobe Reader 9.1.3 y Acrobat 9.1.3, Adobe Reader 8.1.6 y Acrobat 8.1.6 para Windows, Macintosh y UNIX, y Adobe Reader 7.1.3 y Acrobat 7.1.3 para Windows y Macintosh. Estas vulnerabilidades podrían causar que la aplicación se bloquee y, potencialmente, podría permitir a un atacante tomar el control del sistema afectado. Esta actualización representa la segunda actualización trimestral de seguridad para Adobe Reader y Acrobat.

SECURITY UPDATE.

fuente: adobe.com

Avisos de Seguridad de Cisco

Cisco ha lanzado varios avisos de seguridad para solucionar vulnerabilidades en IOS Software y Unified Communications Manager.
Estas vulnerabilidades podrían permitir a un atacante provocar una denegación de servicio, desbordamiento del búfer, o access control list bypass.

Se recomienda a los usuarios y administradores examinar los siguientes avisos de seguridad de Cisco y aplicar todas las actualizaciones necesarias para ayudar a mitigar los riesgos.

• http://www.cisco.com/en/US/products/products_security_advisory09186a0080af811a.shtml
• http://www.cisco.com/en/US/products/products_security_advisory09186a0080af8132.shtml
• http://www.cisco.com/en/US/products/products_security_advisory09186a0080af8131.shtml
• http://www.cisco.com/en/US/products/products_security_advisory09186a0080af8115.shtml
• http://www.cisco.com/en/US/products/products_security_advisory09186a0080af811c.shtml
• http://www.cisco.com/en/US/products/products_security_advisory09186a0080af8117.shtml
• http://www.cisco.com/en/US/products/products_security_advisory09186a0080af8116.shtml
• http://www.cisco.com/en/US/products/products_security_advisory09186a0080af8130.shtml
• http://www.cisco.com/en/US/products/products_security_advisory09186a0080af8119.shtml
• http://www.cisco.com/en/US/products/products_security_advisory09186a0080af8118.shtml
• http://www.cisco.com/en/US/products/products_security_advisory09186a0080af811b.shtml

Vulnerabilidades Relacionadas

fuente: us-cert.org

Nueva actualización de Firefox

Los desarrolladores de Firefox han publicado una nueva actualización de Firefox que solucionada varios fallos de seguridad, así como da más estabilidad al navegador.

Tres de las vulnerabilidad que resuelve está actualización han sido consideradas como críticas, mientras que la otra ha sido considerada como baja.

Una de las vulnerabilidades resuelta por los desarrolladores de Mozilla han sido varios bugs que provocaban corrupción de memoria en determinadas circunstancias, y que podría ser explotado para ejecutar código arbitrario.

Otro de las vulnerabilidad, la cual han llamado “TreeColumns dangling pointer vulnerability”, podría ser utilizado por un atacante para bloquear el navegador de la víctima y ejecutar código arbitrario.

Por otro lado también se ha solucionado una vulnerabilidad que permitía a un atacante realizar una escalada de privilegios con FeedWriter, y que le permitiría ejecutar código JavaScript cundo el usuario lea un Rss.

Si tienes instalado Firefox 3.5 o Firefox 3 recibirás una notificación de actualización automática en un período de 24 a 48 horas, aunque si quieres descargar la actualización cuanto antes, puedes hacerlo desde la página de Firefox o bien mediante la actualización automática de Firefox que se puede encontrar en el menú Ayuda->Buscar actualizaciones.

REFERENCIA FIREFOX

fuente: websecurity.es

Comunicado de prensa de Mozilla Firefox 3.5.2 y Firefox 3.0.13

La Fundación Mozilla ha publicado las versiones  Firefox 3.0.13 y 3.5.2 para hacer frente a múltiples vulnerabilidades detectadas. Estas vulnerabilidades pueden permitir a un atacante ejecutar código arbitrario, mostrar información engañosa sobre SSL a una página Web, interceptar y modificar la comunicación cifrada, ejecutar código JavaScript arbitrario con privilegios  o causar una denegación de servicio.

Se recomienda a los usuarios  revisar los avisos de seguridad que lanza la fundación Mozilla  y aplicar las  actualizaciones necesarias para ayudar a mitigar los riesgos.

release date: 3 de agosto de 2009 a las 10:00 am
last update: 4 de agosto de 2009 a 8:41 am

Url pertinente (s):

• <http://www.mozilla.org/security/known-vulnerabilities/firefox30.html#firefox3.0.13>DESCARGAR
• <http://www.mozilla.org/security/known-vulnerabilities/firefox35.html#firefox3.5.2>   DESCARGAR

fuente: us-cert.gov

Sun Java SE Multiple Security Vulnerabilities

Sun has released updates to address multiple vulnerabilities in Java SE.

Very little technical information is currently available on these issues. This BID will be updated as the vendor advisories are released.

These issues are addressed in the following releases:

JDK and JRE 6 Update 15
JDK and JRE 5.0 Update 20
SDK and JRE 1.4.2_22
SDK and JRE 1.3.1_26

Published:     Aug 03 2009 12:00AM
Updated:        Aug 04 2009 10:24PM

REFERENCIAS

Advance notification of Security Updates for Java SE  (Sun)

Java SE 6 Update Release Notes (Sun)

fuente: securityfocus.com

Mozilla Updates

Mozilla ha publicado dos boletines de seguridad (Security Advisory 2009-42 y Security Advisory 2009-43) para hacer frente a múltiples vulnerabilidades en Firefox. La vulnerabilidad descrita en el Security Advisory 2009-42 puede permitir a un atacante  interceptar y modificar la comunicación cifrada, mientras tanto la vulnerabilidad descrita en el Security Advisory 2009-43 puede permitir a un atacante ejecutar código arbitrario mediante el envío de un certificado trucado.

Se recomienda a los usuarios revisar ambos boletines 2009-42 y 2009-43 y aplicar las  actualizaciones necesarias para ayudar a mitigar los riesgos.

Security Advisory 2009-42

Security Advisory 2009-43

fuente: us-cert.gov

Boletines de Seguridad de Adobe

Adobe ha hecho publico dos boletines de seguridad para hacer frente a las nuevas vulnerabilidades encontradas en dos de sus productos; estas vulnerabilidades son causadas por el agujero de seguridad de Microsoft Visual Studio Active Template Library. Los productos afectados por parte de Adobe son los siguientes:

• Adobe Shockwave Player – vulnerabilidad -  Security update available for Shockwave Player
  
  

• Adobe Flash Player – vulnerabilidad – Security advisory for Adobe Flash Player

fuente: adobe.com/support

Microsoft publica dos Boletines de Seguridad fuera de su periodo habitual

Microsoft ha publicado dos boletines de seguridad fuera del periodo habitual. El primer boletín, MS09-034, es una actualización de seguridad acumulativa para Internet Explorer que se ocupa de varias vulnerabilidades. Estas vulnerabilidades pueden permitir a un atacante remoto ejecutar código arbitrario. El segundo boletín, MS09-035, se dirige a las vulnerabilidades en l
Visual Studio Active Template Library (ATL). Explotar estas vulnerabilidades pueden permitir a un atacante ejecutar código arbitrario.

Se recomienda a los usuarios y administradores revisar los boletines de seguridad de Microsoft MS09-034 y MS09-035 y aplicar las actualizaciones necesarias  o soluciones para ayudar a mitigar los riesgos.

Publicado 28 de julio de 2009
Update :    28 de julio de 2009

Microsoft Security Advisory (973882)

Url pertinente (s):
<http://www.microsoft.com/technet/security/bulletin/ms09-034.mspx>

<http://www.microsoft.com/technet/security/bulletin/ms09-035.mspx>

fuente: us-cert.gov / microsoft.com

Microsoft Security Advisory (973882)

Cisco Security Advisory: Multiples vulnerabilidades que afectan al Wireless LAN Controller de Cisco.

ID del Documento: 110266

Para la versión Pública 2009 27 de julio 1600 UTC (GMT)

Resumen

Múltiples vulnerabilidades se han encontrado en el controlador de LAN inalámbrica de Cisco (WLC). En este boletin de asesoramiento de seguridad se describen los detalles de las siguientes vulnerabilidades:

• Malformed HTTP or HTTPS authentication response denial of service vulnerability
• SSH connections denial of service vulnerability
• Crafted HTTP or HTTPS request denial of service vulnerability
• Crafted HTTP or HTTPS request unauthorized configuration modification vulnerability

Cisco ha publicado actualizaciones  libres para corregir dichas vulnerabilidades.

REFERENCIA CISCO

VULNERABILIDADES

OTRAS VULNERABILIDADES

fuente: cisco.com

Mozilla lanza una nueva actualización para cinco agujeros críticos en Firefox

Mozilla ha anunciado el lanzamiento de nuevos parches para solventar las vulnerabilidades detectadas en su sistema operativo. Se trata de Firefox 3.0.12, una versión con la que la firma confía en resolver cinco agujeros de seguridad críticos y otras vulnerabilidades descubiertas en su sistema operativo.

Según apunta la compañía en su blog para desarrolladores, ya está disponible la nueva actualización Firefox 3.0.12 para dar respuesta a los fallos de seguridad detectados en la versión 3.0.x de su sistema operativo. Tal y como se apunta en dicho blog, “recomendamos encarecidamente a todos los usuarios de Firefox 3.0.x que se actualicen a este último lanzamiento”. Asimismo, también apuntan que si el usuario ya dispone de Firefox 3, “recibirá una notificación automática de actualización en un plazo de 24 a 48 horas”. Esta actualización también puede realizarse manualmente desde el menú de Ayuda, en la opción de comprobación de actualizaciones.

Con esta versión 3.0.12, Mozilla apunta que se resuelven cinco problemas críticos de seguridad y otro de nivel alto.

El lanzamiento de esta actualización se produce cinco días después de que Mozilla también tuviera disponible para su descarga la versión Firefox 3.5.1 para resolver un problema de seguridad detectado en la nueva versión de su sistema operativo Firefox 3.5, que sigue batiendo récords de descargas.

REFERENCIA MOZILLA

fuente: idg.es

Parche para el navegador Chrome

Google sigue defendiendo que Chrome OS, su sistema operativo será completamente seguro. Sin embargo, para su navegador, que lleva el mismo nombre, acaba de lanzar nuevos parches de seguridad.

Google ha lanzado un nuevo parche de seguridad para su navegador Chrome pero mantiene que Chrome OS, su sistema operativo, será completamente seguro.

Linus Upson, director de ingeniería en Google, explicaba a la revista New Scientist que se está rediseñando completamente la arquitectura de seguridad que subyace bajo Crhome OS, “para que los usuarios no tengan que enfrentarse a virus, malware y actualizaciones de seguridad”. Y se mostraba confiado en que podrán cumplir con esta visión.

Sin duda, se trata de un promesa difícil de cumplir y que, además, puede suponer una motivación extra para los desarrolladores de malware. Además, algunos expertos en seguridad también consideran que se trata de un compromiso incrédulo puesto que Google también ha tenido sus problemas de seguridad. Aunque es cierto que a la hora de proteger el correo electrónico no se han dado muchas incidencias, no se puede decir lo mismo de otros productos. Por ejemplo, con el navegador Chrome, que se parchea a sí mismo, de manera que cuando encuentra un agujero de seguridad, se encarga de solucionarlo sin que sea necesaria la intervención del usuario.

Además, lo cierto es que suelen ser frecuentes estos agujeros de seguridad. El pasado viernes, sin ir más lejos, Google lanzó su décimo parche en lo que va de año para el navegador Chrome, lo que hace un promedio de más de una actualización por mes. Algo en lo que no obtiene mucha ventaja respecto a Microsoft, quien de momento ha habilitado 3 parches para 14 fallos de seguridad en las diversas versiones de Internet Explorer.

El agujero de la semana pasada en Chrome fue calificado como altamente crítico y estaba relacionado con el procesamiento de expresiones regulares de JavaScript. Podría ser explotado para corromper la memoria, según las explicaciones de Secunia.

BLOG DE CHROME

RELEASE NOTES

fuente: idg.es

Oracle Critical Patch Update Advisory – July 2009

Siguiendo los habitos de Microsoft de utilizar el segundo marte de cada mes, Oracle ha liberado (martes 14) su Critical Patch Update Advisory para este mes de julio, el cual reemplaza al “Pre Release Announcement” emitido hace un par de dias (10 de julio) y en donde ya  informaban de las diferentes vulnerabilidades a tratar.

REFERENCIA ORACLE CRITICAL PATCH UPDATE

VULNERABILIDADES

Resumen de los productos afectados.

• Oracle Database 11g, version 11.1.0.6, 11.1.0.7 – [Database]
• Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4 – [Database]
• Oracle Database 10g, version 10.1.0.5 – [Database]
• Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV – [Database]
• Oracle Application Server 10g Release 2 (10.1.2), version 10.1.2.3.0 – [Application Server]
• Oracle Application Server 10g Release 3 (10.1.3), versions 10.1.3.3.0, 10.1.3.4.0 – [Application Server]
• Oracle Identity Management 10g, version 10.1.4.0.1, 10.1.4.2.0, 10.1.4.3.0 – [Application Server]
• Oracle E-Business Suite Release 12, version 12.1 – [E-Business Suite]
• Oracle E-Business Suite Release 12, version 12.0.6 – [E-Business Suite]
• Oracle E-Business Suite Release 11i, version 11.5.10.2  – [E-Business Suite]
• Oracle Enterprise Manager Database Control 11, version 11.1.0.6, 11.1.0.7 – [Enterprise Manager]
• Oracle Enterprise Manager Grid Control 10g Release 4, version 10.2.0.4 – [Enterprise Manager]
• PeopleSoft Enterprise PeopleTools versions: 8.49 – [PeopleSoft/JDE]
• PeopleSoft Enterprise HRMS versions: 8.9 and 9.0 – [PeopleSoft/JDE]
• Siebel Highly Interactive Client versions: 7.5.3, 7.7.2, 7.8, 8.0, 8.1 – [Siebel]
• Oracle WebLogic Server 10.3, 10.0MP1 – [BEA]
• Oracle WebLogic Server 9.0 GA, 9.1 GA, 9.2 through 9.2 MP3- [BEA]
• Oracle WebLogic Server 8.1 through 8.1 SP6 – [BEA]
• Oracle WebLogic Server 7.0 through 7.0 SP7  – [BEA]
• Oracle Complex Event Processing 10.3 and WebLogic Event Server 2.0 – [BEA]
• Oracle JRockit R27.6.3 and earlier (JDK/JRE 6, 5, 1.4.2) – [BEA]

fuente: oracle.com

Microsoft lanzará el martes seis parches, dos para los últimos ataques contra Windows y Explorer

Microsoft ha confirmado que el boletín de seguridad que emitirá el próximo 14 de julio incluirá seis actualizaciones, entre las que se encontrarán dos para las brechas que los hackers han estado aprovechando para atacar Windows e Internet Explorer en los últimos meses.

De los seis parches, tres afectan a Windows y uno solucionará problemas en Publisher, Internet Security and Acceleration Server (ISA) y en Virtual PC y Virtual Software. Dos de las actualizaciones de Windows serán clasificadas como “críticas”, el nivel más alto por amenazas, mientras que las otras llevarán la etiqueta de “importantes”, el siguiente nivel en el sistema de puntuación de cuatro estadios fijado por la compañía. Microsoft ha querido dejar claro en su avance que dos de los tres parches críticos para Windows que lanzará la próxima semana abordarán las vulnerabilidades que ya admitió en un par de recientes avisos de seguridad, algo bastante inusual en la compañía. Normalmente, sus avances de notificaciones y cualquier comentario adicional no especifican qué agujeros serán parcheados.

También en la lista de parches del martes figurará uno contra el más reciente agujero en ActiveX, que los hackers han estado aprovechando desde principios de junio para secuestrar ordenadores basados en Windows XP.

Según unos investigadores, Microsoft tenía conocimiento de esta brecha desde hace más de 12 meses, si bien los hackers la llevan explotando, al menos, desde el 9 de junio de este año. A este respecto, Mike Reavey, director del MSRC, ha confirmado que la compañía sabia del agujero desde comienzos de la primavera de 2008, pero ha negado que conocieran los ataques masivos hasta la pasada semana.

El parche para la vulnerabilidad de ActiveX no será un parche per se, según Reavey, sino una actualización automática que establecerá un amplio conjunto de “kill bits” para deshabilitar el control de desbordamiento del búfer.

–> Microsoft Security Bulletin Advance Notification for July 2009

fuente: csospain.es / microsoft.com

Oracle Critical Patch Update Pre-Release Announcement – July 2009

Oracle has released advance notification regarding the July 2009 critical patch update. The update, to be released on July 14, 2009, addresses 33 vulnerabilities affecting the following software:

• Oracle Database
• Oracle Application Server
• Oracle Identity Management
• Oracle E-Business Suite Release
• Oracle Enterprise Manager Database Control
• Oracle Enterprise Manager Grid Control
• PeopleSoft Enterprise PeopleTools
• PeopleSoft Enterprise HRMS
• Oracle WebLogic Server
• Oracle Complex Event Processing
• Oracle JRockit

We will update this BID when the advisory is released.

REFERENCIA ORACLE

fuente: oracle.com / securityfocus.com

Notificación del Boletín de Seguridad. (julio 6, 2009)

Ayer notificabamos la nueva vulnererabilidad que afecta a Active X Control de Microsoft. Pues Microsoft ha liberado una nueva notificacion anticipada de su Boletin de Seguridad para hacer frente a dicho problema que afecta tanto a equipos con Windows Xp como a servidores Win 2003.

Ya se ha reportado un exploit que puede aprovecharse de la vulnerabilidad.

EXPLOIT

Microsoft Security Advisory (972890)
Una vulnerabilidad en el control ActiveX Microsoft vídeo podría permitir la ejecución remota de código

Publicado: julio 06, 2009 / Versión: 1.0

Microsoft esta investigando de forma discreta la vulnerabildiadque afecta al Microsoft Video ActiveX Control. Un atacante que logre explotar esta vulnerabilidad podría obtener los mismos derechos de usuario como el usuario local.

REFERENCIA DE LA NOTA DE MICROSOFT

OTRA REFERENCIA DE MICROSOFT PARA IMPEDIR LA EJECUCION DE UN CONTROL ACTIVE X EN IE

fuente: microsoft.com